3. [XSS] http://espinillo.org
Páginas: [1]   Ir Abajo
« anterior próximo »

[XSS] http://espinillo.org

  • 4 Respuestas
  • 2966 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Pytness

  • *
  • Underc0der
  • Mensajes: 19
  • Actividad:
    0%
  • Reputación 1
    • Ver Perfil
    • Email

[XSS] http://espinillo.org

  • en: Septiembre 08, 2016, 09:26:02 pm
Imagen:


Url: You are not allowed to view links. Register or Login - (You are not allowed to view links. Register or Login) - foro=(1-30)
Vector: '<h1 style="color: #ff001b">Underc0de</h1>' *
Autor: Pytness
Reportado: Si**

* Detecta varias palabras, tales como 'script', 'alert', 'write', 'getElementById'... Validacion Back-End, muestra una alerta de error.
-* Añadiendo una imagen con un src nulo y un onerror podemos cargar un script.

** Lo reporte hace meses y añadieron un 'filtro' de palabras (*). Lo he vuelto a reportar.
« Última modificación: Septiembre 09, 2016, 06:04:37 pm por Pytness »
En línea
Pytness

Desconectado blackdrake

  • *
  • Co Admin
  • Mensajes: 1967
  • Actividad:
    33.33%
  • Country: es
  • Reputación 16
    • Ver Perfil

Re:[XSS] http://espinillo.org

  • en: Septiembre 10, 2016, 06:54:33 am
Ese "foro" es un coladero, no estuve ni 2 minutos dentro y encontré 2 XSS (diferentes a los tuyos) y 1 SQLi.

Un saludo.
En línea

Desconectado ---

  • *
  • Underc0der
  • Mensajes: 66
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil

Re:[XSS] http://espinillo.org

  • en: Septiembre 11, 2016, 04:02:20 pm
You are not allowed to view links. Register or Login
Ese "foro" es un coladero, no estuve ni 2 minutos dentro y encontré 2 XSS (diferentes a los tuyos) y 1 SQLi.

Un saludo.
@You are not allowed to view links. Register or Login En el mismo enlace tiene sqli XD
En línea

Desconectado Pytness

  • *
  • Underc0der
  • Mensajes: 19
  • Actividad:
    0%
  • Reputación 1
    • Ver Perfil
    • Email

Re:[XSS] http://espinillo.org

  • en: Septiembre 11, 2016, 06:04:52 pm
You are not allowed to view links. Register or Login

Este de aqui tiene contraseña, creo que la pass no esta en la base de datos.
En línea
Pytness

Desconectado Pytness

  • *
  • Underc0der
  • Mensajes: 19
  • Actividad:
    0%
  • Reputación 1
    • Ver Perfil
    • Email

Re:[XSS] http://espinillo.org

  • en: Septiembre 11, 2016, 06:06:17 pm
Estuve mirando en la BD mediante Blind SQLi y pude averiguar que guardan almenos los nombres de los foros :/
En línea
Pytness
Páginas: [1]   Ir Arriba
« anterior próximo »
 

SQLI WAF Bypass y SQLI LoadFile http://www.lasemana.es/

Iniciado por hdbreaker

 Respuestas: 0
Vistas: 2170 		Último mensaje Julio 25, 2013, 02:55:56 am
por hdbreaker
SQLI Double Error Based http://campusvirtual.frsf.utn.edu.ar

Iniciado por hdbreaker

 Respuestas: 1
Vistas: 1965 		Último mensaje Febrero 19, 2013, 06:59:26 pm
por ANTRAX
SQLI Source Data http://bolivia.infoleyes.com/

Iniciado por hdbreaker

 Respuestas: 0
Vistas: 2050 		Último mensaje Junio 25, 2013, 10:37:19 pm
por hdbreaker
[XSS + Arbitrary File Upload] http://www.holatelcel.com

Iniciado por HckDrk

 Respuestas: 2
Vistas: 2864 		Último mensaje Marzo 13, 2014, 01:22:24 pm
por clavo25
SQLI Double Query http://www.mirada21.es/

Iniciado por hdbreaker

 Respuestas: 0
Vistas: 1850 		Último mensaje Julio 25, 2013, 02:38:04 am
por hdbreaker